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VERIFICATION DE LA CONFORMITE D'ACCES A DES OBJETS DANS UN SYSTEME DE TRAITEMENT DE 
DONNEES AVEC UNE POLITIQUE DE SECURITE. 

§7) L'invention concerne la conformlte de regies d'acces 
(Ft) de sujets (Su) a des objets (Ob) avec une politique de 



securite (PS) predefinie dans un systeme de traitement de 
donnees de type carte a puce. Chaque regie d'acces definit 
un droit d'un sujet a accomplir une action sur un objet. La 
politique de securite definit des regies de securite (RS) pour 
I'acces des sujets aux objets. Pour une operation relative a 
un objet donne (Ob), au moins une regie d'acces relative a 
i'objet donne est comparee avec les regies de securite afin 
d'accepter r operation lorsque la regie d'acces est conforme 
a toutes les regies de securite et sinon de refuser I'opera- 
tion. Une operation peut etre un chargement d'obiet tel 
qu'une application, une modification de regies d'acces, ou 
une suppression ou une adjonction de sujet (s), ou une de- 
mande d'acces a I'objet donne par un sujet ou un groupe de 
sujet. 



| rSUC ES1 i ESP) Jai TZ tV^oTh n 

] es,to,tc.LH <ae.<n n K -ki « 



/ Operation iur OS? O- 



f "'vSfilirtlk-r. <!., <r.i,t'„r*\*. }• r T4 



^ 

KA V % - — I n>vl«t«r !« Cpl 

: I p 1 



bp R OI.Jvp 



ContoniuU avw KS. KS1 & RSl ! > 



Vptr itloa 

— r 



7" 

ET9 



(m*) (Sm J* Oil 
(r.*sj ft> R CS»> 




2822256 



Verification de la confoxmite d'acces a des objets 
dans un systeme de traitement de donnees avec une 
politique de securite 

5 La presente invention concerne d'une maniere 

generale la verification de la conformite de 
conditions d'acces par des premiers elements a des 
deuxiemes elements avec des regies de securite 
definissant une politique de securite. Les premiers 

10 elements sont des sujets constituant des utilisateurs 
ou modules logiciels d ! un moyen de traitement de 
donnees. Les deuxiemes elements sont des objets tels 
que des applications implementees dans le moyen de 
traitement de donnees. Plus part iculierement , 

15 l 1 invention est relative a des conditions d'acces a 
des applications implementees dans une carte a puce, 
dite egalement carte a microcontroleur ou a circuit 
integre, qui comporte plusieurs applications 
relatives a divers services, tels que des 

20 applications de commerce electronique , porte-monnaie 
electronique, service de fidelite, etc. 

L' invention est ainsi particulierement dirigee 
vers la conformite de toute operation relative a une 
application dans une carte a puce multi-applicative 

25 avec des regies de securite. L 1 operation peut etre un 
chargement ou une modification de 1 1 application, ou 
des modifications des conditions d'acces a 
1 1 application, ou bien encore une demande d'acces a 
1 1 application pour accomplir une action sur celle-ci. 

30 

La coexistence et la cooperation de plusieurs 
applications au sein d T une meme carte a puce souleve 
de nombreux problemes du point de vue de la securite. 
En particulier, chaque application possede ses 
35 propres donnees pour lesquelles le fournisseur de 
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1» application definit des droits d'acces propres a 
1' application. Les droits d'acces sont des moyens de 
liaison entre des accds externes qui peuvent etre des 
utilisateurs de la carte ou bien des modules 
5 logiciels, comme des interfaces d'usager, et des 
acces internes a la carte tels que des applications, 
eventuellement par 1 ' intermediate d'autres 
applications ou d ? autres elements logiciels 
d ' application dans la carte. 

10 Le controle des conditions d'acces repose sur 

1 1 authentif ication des sujets, tels que les 
utilisateurs, qui sont des elements "actifs" qui 
manipulent des informations contenues dans des 
objets, tels que des applications, qui sont des 

15 elements "passifs" contenant des donnees. Les droits 
d'acces des sujets aux objets sont regies par des 
regies de controle d'acces entre les sujets et les 
objets. Chaque regie comporte un droit d'acces, 
c'est-a-dire un lien entre un sujet et un objet sous 

20 la forme d'une action qui peut etre accomplie par le 
sujet sur 1' objet. 

II est connu de representer les droits d'acces 
de sujets a des objets par une matrice d'acces MA 
dont les colonnes correspondent a des sujets et dont 

25 les lignes correspondent a des objets, comme montre a 
la figure 1. Par exemple, la matrice MA est relative 
a trois sujets SI, S2 et S3, tels que trois 
utilisateurs, et a trois objets 01, 02 et 03, tels 
que des fichiers et des programmes. Chaque case de la 

30 matrice a 1 1 intersection d'une ligne et d'une colonne 
contient des droits d'acces, c'est-a-dire des actions 
privilegiees qui peuvent etre accomplies par le sujet 
respectif sur 1' objet respectif. 

Les droits d'acces peuvent etre positifs pour 

35 autoriser une action predeterminee d ' un sujet sur un 
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objet, ou peuvent etre negatifs pour interdire une 
action predeterminee d T un sujet sur un objet. Par 
exemple, le sujet S2 peut lire et executer l'objet 02 
mais ne peut pas ecrire dans cet objet, et le sujet 
S3 peut enregistrer et lire l f objet 03 mais ne peut 
pas executer l f objet 03. 

Comme il est connu, les regies de controle 
d'acces sont generalement traitees suivant deux 
approches • 

La premiere approche consiste en des listes de 
controle d'acces ACL (Access Control List) 
correspondant aux lignes de la rnatrice d'acces MA et 
specif iant chacune les droits d ! acces de sujets a 
I 1 objet associe a la ligne. A titre d'exemple, dans 
une carte a puce multi-applicative du type WINDOWS 
(marque enregistree) , des listes de controle d'acces 
ACL definissent des acces d 1 utilisateurs a des 
fichiers inclus dans la carte. 

A l 1 inverse, la deuxieme approche consiste en 
des capacites correspondant aux colonnes de la 
rnatrice MA et specif iant chacune les droits d'acces 
du sujet associe a la colonne sur les objets. Par 
exemple, le controle d'acces porte sur des methodes 
d'applets pour cartes a puce multi-applicatives de 
type JavaCard dans lesquelles des programmes en 
langage Java ont ete ecrits. Les capacites sont sous 
la forme de pointeurs permettant d'ef fectuer des 
appels a des objets, dans des applets predetermines 
constituant des sujets. 

Dans le domaine de la carte a microcontroleur , 
la notion de politique de securite est generalement 
omise. En effet, les cartes etant jusqu'alors 
generalement mono-applicatives, ceci impose une 
unique politique de securite de taille raisonnable 
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pour assurer que les droits d'acces correspondent 
bien au souhait du developpeur ayant en charge la 
definition des droits d'acces. 

Comme deja precise, les droits d'acces sont 
exprimes sous la forme de regies de controle d'acces. 
II faut alors verifier et garantir que les droits 
d'acces sont complets et consistants vis-a-vis d'une 
politique, c'est-a-dire qu'ils off rent au moins deux 
proprietes, la completude et la consistance. La 
completude de droit d'acces assure que pour tout 
sujet et tout objet, il existe au moins un droit 
d'acces specif iant si le sujet est autorise ou non a 
acceder a 1 ? objet. La consistance des droits d'acces 
garantit que pour tout sujet et tout objet, si 
plusieurs droits d'acces a 1 'objet sont definis, les 
droits d'acces specif ient tous le merae type de droit 
positif ou negatif. La completude des droits d'acces 
vis-a-vis d'une politique de securite assure que les 
droits d'acces definissent tous les droits specifies 
par la politique de securite. La consistance des 
droits d'acces vis-a-vis d'une politique assure que 
les droits d'acces sont lirnites a ceux definis par la 
politique de securite et ne definissent pas plus de 
droits . 

Actuellement dans les cartes mul ti-applicat ives , 
les proprietes de completude et de consistance des 
droits d'acces avec une politique de securite ne 
peuvent pas etre verifie. Le developpeur en charge de 
la definition des droits d'acces n'est done pas en 
mesure de verifier que les droits d'acces specifies 
correspondent aux regies de la politique de securite 
souhaitee . 

L 1 introduction de cartes mult i-applicati ves 
complexifie le probleme de la coexistence de 
plusieurs applications et done la coexistence de 
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plusieurs politiques de securite, la cooperation 
entre les applications augmentant encore la 
complexity des politiques. 

La presente invention a pour objectif de fournir 
un procede pour verifier la conformite des droits 
d'acces de plusieurs sujets a plusieurs objets, tels 
que des applications dans une carte multi- 
applicative, avec une politique de securite globale 
qui est raise en oeuvre par le gestionnaire de la 
carte qui peut etre une personne differente du 
developpeur de chacune des applications • Ce procede 
garantit ainsi la completude et la consistance des 
droits d'acces vis-a-vis d'une politique de securite 
: les droits d'acces definissent tous les droits 
specifics par la politique de securite selon la 
propriete de completude, et se limitent a ces droits 
de politique de securite selon la propriete de 
consistance . 

Pour atteindre cet objectif, un procede pour 
verifier un ensemble de regies d'acces de premiers 
elements a des deuxiemes elements dans un systeme de 
traitement de donnees, chaque regie definissant un 
droit d'un premier element a accomplir une action sur 
un deuxieme element, est caracterise en ce qu'il 
comprend, une definition de regies de securite pour 
l'acces des premiers elements aux deuxiemes elements, 
et pour chaque operation relative a un deuxieme 
element donne, une comparaison d f au moins une regie 
d'acces donnee au deuxieme element donne avec les 
regies de securite de maniere a accepter l f operation 
lorsque la regie d'acces est conforme a toutes les 
regies de securite et a signaler la non conformite de 
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1' operation lorsque la regie d'acces n'est pas 
conforme a l'une des regies de securite. 

Comme on le verra dans la suite, les premiers 
elements sont par exemple des sujets tels que des 
5 utilisateurs, et les deuxiemes elements sont par 
exemple des objets, tels que des applications dans 
une carte a puce multi-applicative incluse dans le 
systeme de traitement de donnees. 

Selon une premiere realisation, le systeme de 
10 traitement de donnees comprend un objet electronique 
portable dans lequel au moins les deuxiemes elements 
sont implantes, et un moyen de securite externe a 
1' objet electronique portable dans lequel les regies 
de securite sont implantees et qui effectue la 
15 comparaison. 

Selon une deuxieme realisation, le systeme de 
traitement de donnees est un objet electronique 
portable dans lequel au moins les deuxiemes elements 
et les regies de securite sont implantes et qui 
20 effectue la comparaison. 

D'autres caract^rist iques et avantages de la 
presente invention apparaitront plus clairement a la 
lecture de la description suivante de plusieurs 
25 realisations preferees de 1' invention en reference 
aux dessins annexes correspondants dans lesquels : 

la figure 1 est un diagramme montrant une 
matrice de controle entre trois sujets et trois 
objets, deja cornmentee selon la technique anterieure 

30 

- la figure 2 est un bloc-diagramme schematique 
d'un systeme de traitement de donnees pour la mise en 
oeuvre du procede de controle de conformite selon une 
premiere realisation de 1 1 invention ; et 
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- la figure 3 est un algorithme du procede de 
verification de conformite selon 1* invention. 

Un systeme electronique de traitement de donnees 
5 tel qu'illustre a la figure 2 comprend un objet 
electronique portable telle qu'une carte a puce CA et 
un terminal TE dote d'un clavier CL et d'un lecteur 
LE pour lire les donnees dans la carte. La "puce" de 
la carte CA est un microcontroleur comportant un 

10 microprocesseur PR et trois memoires MO, MNV et MA. 
La memoire MO de type ROM inclut un systeme 
d 1 exploitation OS de la carte. La memoire MNV est une 
memoire non volatile de type programmable et 
effagable, comme une memoire EEPROM. La memoire MNV 

15 contient des donnees notamment liees au possesseur et 
au fournisseur de la carte et en particulier des 
applications AP constituant des objets au sens de 
l f invention et des donnees liees aux acces aux 
applications AP, telles que des regies d' acces R et 

20 des sujets Su. La memoire MA est de type RAM et 
destinee a recevoir notamment des donnees du terminal 
TE de la carte. Tous les composants PR, MO, MNV et MA 
sont relies entre eux par un bus interne BU . Lorsque 
la carte CA est introduite dans le lecteur LE du 

25 terminal TE, le bus BU est relie au terminal TE a 
travers une liaison de contacts LI lorsque la carte 
est du type a contacts electriques. 

Selon cette premiere realisation, une politique 
de securite definie par des regies de securite RS 

30 relative a toutes les applications AP dans la carte a 
puce CA est pre-memorisee dans le terminal TE . Par 
exemple, le terminal TE appartient au distributeur de 
la carte a puce qui peut etre different de chaque 
developpeur d 1 application ayant en charge la 
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definition de regies d' acces a au moins une 
application respective . 

En variante, le terminal contenant les regies de 
securite et verifiant la conformite des regies 
5 d'acces avec les regies de securite est un serveur 
relie par un reseau de telecommunication a un 
terminal d'accueil de la carte a puce, 

Selon une deuxieme realisation, au lieu que la 
politique de securite PS soit implantee dans le 
10 terminal TE, les regies de securite RS definissant la 
politique de security sont implant^es dans la memoire 
ROM MO de la carte a puce CA qui constitue le systeme 
de traitement de donnees. 

La description ci-apres du procede de 
15 verification de conformite selon 1' invention est 
valable indif f eremment pour ces deux realisations 
presentees ci-dessus . 

Les realisations decrites ci-apres du procede de 
20 verification de conformite d'acces de sujets a des 
objets avec une politique de securite se referent aux 
cinq ensembles suivants : 

- un ensemble d'objet EO = {Ol, ... Ob, ... OB} 
avec 1 < b < B, 

25 - un ensemble de sujet ES = {SI, ... Su, ... SU} 

avec 1 < u < U relatif a des sujets ayant chacun au 
moins un acces a un objet donne Ob, 

- un ensemble de groupe de sujet EG = {G1, 

Gp, . . . GP} relatif a des sujets ayant chacun au 
30 moins un acces a l 1 objet Ob, un sujet dans un groupe 
ayant tous les droits d'acces accordes a ce groupe, 
et un sujet pouvant appartenir a un ou plusieurs 
groupes, 

- un ensemble de regie de droit d'acces ER = 
35 {Rl, ... Re, ... RE} avec 1 < e < E regissant l'acces 
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cles sujets de 1 T ensemble ES et des groupes de 
l f ensemble EG a l ! objet donne Ob, et 

un ensemble de regies de securite RS 
applicables a tous les sujets de l 1 ensemble donnant 
acces a l 1 objet Ob et de regies de securite RSI a RSP 
applicables respectivement aux groupes Gl a GP pour 
acceder a l f objet Ob. 

Si R (ou RS) designe un droits c r est-a-dire une 
action telle que lecture, ecriture, execution ou 
enregistrement, qui peut <§tre accomplie par un sujet 
quelconque Su sur un objet donn§ quelconque Ob, le 
contrdle d'acces est r§gi par les regies de droit 
positif suivantes : 

- (SuROb) : le sujet Su a le droit R sur 1 T objet 
Ob, c'est-a-dire est autorise a accomplir 1' action R 
sur 1' objet donne Ob ; 

- (GpROb) : les sujets du groupe Gp ont le droit 
R sur l 1 objet Ob / 

ainsi que par les regies de droit negatif suivantes : 

- non(SuROb) : le sujet Su n ! a pas le droit R 
sur 1 'objet donne Ob, c ' est-a-dire est interdit 
d 1 accomplir l f action R sur 1' objet Ob ; 

- non(GpROb) : les sujets du groupe Gp n'ont pas 
le droit R sur I 1 objet Ob. 

Dans la suite, on appellera "droit direct" du 
sujet Su sur 1' objet Ob, un droit obtenu directement 
par la regie (SuROb) , c'est-a-dire sans passer par 
1 1 intermediaire d ? un groupe ; et "droit indirect" du 
sujet Su sur l'objet Ob, un droit obtenu par la regie 
(GpROb) a travers un groupe Gp dans lequel est inclus 
le sujet Su. 

En reference maintenant a la figure 3, le 
procede de verification de conformite comprend 
principalement des etapes ETl a ET8 . 
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Au debut du procede, une premiere etape initiale 
ET1 definit une politique de securite PS qui comporte 
des regies de securite RS qui sont communes a tous 
les objets 01 a OB de l 1 ensemble EO ainsi que des 
5 regies de securite respectivement pour des groupes de 
sujet predetermines et des objets predetermines, et 
en particulier pour les groupes Gl a GP associes a 
I'objet donne Ob, La politique de securite est 
implantee dans le terminal TE, ou dans la memoire MNV 

10 de la carte a puce CA. 

La deuxieme etape initiale ET2 definit les 
quatre groupes ES, EO, EG et ER pour les implementer 
dans les memoires MO et MNV de la carte a puce CA. 

L T e t ape suivante ET3 concerne le declenchement 

15 d'une operation sur I'objet donne Ob. Cette operation 
peut etre le chargement de I'objet donne Ob, par 
example en tant que nouvelle application, dans la 
memoire EEPROM MNV de la carte CA, y compris les 
regies d'acces propres a 1 ' application definies a une 

20 etape anterieure ET2 et ecrites dans la memoire MNV, 
ou une modification de regie d'acces relative a 
I'objet donne Ob. La modification de regie d'acces 
peut etre une suppression ou une adjonction d'une 
regie d'acces relative a un sujet Su ou un groupe Gp 

25 et naturellement a I'objet donne Ob. L' operation sur 
I'objet donne Ob peut etre simplement une demande 
d'acces de droit a I'objet donne par un sujet Su ou 
un groupe Gp du type (SuROb) ou (GpROb) , ou une 
modification d ' un ou de plusieurs sujets ou d'un 

30 groupe ayant un acces sur I'objet donne Ob, c'est-a- 
dire une suppression ou une adjonction d'un ou de 
plusieurs sujets ou d'un groupe. 

La verification de conformite proprement dite 
35 par comparaison de regies d'acces relatives a I'objet 
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donne Ob a toutes les regies de securite debute a 
1'etape ET4 ♦ En variante, cette verification de 
conformite est effectuee periodiquement par exemple 
toutes les vingt quatre heures lorsque la carte a 
puce CA est utilisee, ou bien toutes les M operations 
relatives a l'objet donne Ob, ou M d^signe un entier 
au moins egal a 2. 

D'une maniere generale, selon une premiere 
realisation, toutes les regies d'acces positives et 
negatives Re relatives a l'objet donne Ob et a un 
quelconque sujet Sq pour un droit direct ou a un 
quelconque groupe Gp pour un droit indirect ont leur 
conformite verifiee par rapport a toutes les regies 
de securite RS et RSp quel que soit 1 1 indice p def ini 
par la politique de securite pour l'objet Ob, comme 
indique a des etapes ET81, ET82, ET83 et ET9 qui 
succedent alors directement a 1' etape ET4 a travers 
une reponse negative a 1 ' etape interrnediaire ET6 ou 
apres 1 1 etape ET7 . En pratique, la verification de la 
conformite d'une regie d'acces resulte d'une 
comparaison de cette regie avec chacune des regies de 
securite. Par exemple, une regie de securite commune 
a tous les sujets et tous les groupes relatifs a 
l ! objet Ob peut etre une interdiction d'ecrire dans 
l'objet Ob, et une regie de securite RSp pour le 
groupe Gp peut etre une autorisation de lire l'objet 
donne Ob par tous les sujets appartenant au groupe 
Gp . 

Cependant, selon d'autres realisations, le 
procede distingue des operations relatives seulement 
a un sujet Su, comme une demande d'acces direct du 
sujet Su a l'objet Ob ou une adjonction du sujet Su, 
a 1 1 etape ET5, et une operation relative seulement a 
un groupe donne Gp, comme une demande d'acces de 
droit indirect a l'objet donne Ob ou un ajout ou 
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suppression de sujet ou une modification de droit 
relative au groupe Gp, comme indique a l 1 etape ET6. 
Si aucune des conditions des etapes ET5 et ET6 n ? est 
satisfaite, le procede passe directement de 1 1 etape 
5 ET4 a l 1 etape ET81 deja commentee. 

Lorsque 1' operation est relative seulernent a un 
sujet Su et a l'objet Ob, 1' etape ET5 est suivie 
d'une etape ET7 au cours de laquelle tous les groupes 
Gp qui contiennent le sujet Su sont detectes. Dans 

10 cette realisation, 1 ? etape ET81 est remplacee par 
1 1 etape ET82 qui verifie la conformite de toutes les 
regies d'acces positives et negatives relatives a 
l'objet donne Ob et directement au sujet Su ou 
indirectement aux groupes Gp contenant le sujet Su. 

15 Ces regies d'acces sont comparees a toutes les regies 
de securite communes RS et aux regies de securite RSI 
a RSp et en particulier relatives au groupe Gp a 
1' etape ET9. Par 1 1 intermediaire des etapes ET7 et 
ET82, le procede verifie ainsi que la capacite d'un 

20 sujet Su relative a l'objet donne Ob est conforme a 
la politique de securite PS. 

Lorsque 1' operation sur l'objet donne Ob est 
relative seulernent a un groupe de sujet Gp a 1 1 etape 
ET6, toutes les regies de droit d'acces de type 

25 positif (GpROb) et negatif non(GpROb) ont leur 
conformite verifiee par comparaison avec toutes les 
regies de securite communes RS et les regies de 
securite RSI a RSp relatives a tous les groupes, et 
particulierement relatives au groupe donne Gp, a une 

30 etape ET83> A travers les etapes ET6 et ET83, le 
procede verifie ainsi que la liste de controle 
d'acces concernant tous les droits d'acces des sujets 
dans un groupe donne Gp est en conformite avec la 
politique de securite PS. 
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Si apres 1 ' etape ET81, ou ET82 ou ET83, les 
regies d'acces comparees sont bien conformes aux 
regies de securite, 1' operation demandee a l 1 etape 
ET3 est acceptee a 1' etape ET10, et le procede 
revient a 1 ' <§tape ET3 pour une verification de 
conformite relative a une autre operation sur 1' objet 
Ob, ou a une operation sur un autre objet. 

En revanche, si au moins l'une des regies de 
droit d'acces comparees et definies a l'une des 
etapes ET81, ET82 et ET83 n'est pas conformes avec 
l f une des regies de securite a l f etape ET9, 1 1 etape 
ET11 refuse I 1 operation demandee a 1 ' etape ET3, et le 
procede revient ensuite a 1 1 etape ET3 . Le refus de 
l f operation demandee a 1' etape ET11 peut etre 
accompagne d ! un re jet de la carte a puce CA, ou d'une 
suppression de la ou des regies de droit d'acces qui 
n'etaient pas conformes aux regies de securite. 

A titre d'exemple, il est suppose qu'un premier 
20 groupe Gl compose de sujets SI et S2 ne possede que 
le droit d'acces en lecture sur 1 T objet donne Ob, un 
deuxieme groupe G2 compose de sujets S2 et S3 ne 
possede que le droit d'acces en ecriture sur l 1 objet 
Ob, et que les deux groupes Gl et G2 sont autorises a 
25 executer 1 T objet Ob tel qu'une application. Par 
ailleurs, 1' etape ET1 definit deux regies de securite 
RSI et RS2 . Selon la premiere regie RSI, le groupe Gl 
n'est pas autorise a ecrire sur les objets de 
1 ' ensemble EO, et done y compris sur 1' objet donne 
30 Ob. Selon la deuxieme regie de securite RS2, le 
groupe G2 n'est pas autorise a lire les objets de 
1 1 ensemble EO. 

Pour cet exemple, les etapes ET6 et ET83 du 
procede selon la figure 3 sont effectuees. Une 
35 demande d'acces en lecture du groupe Gl fait 



10 



2822256 



apparaitre a I 1 etape ET9 une conformite pour le sujet 
SI appartenant seulement au groupe Gl entre la regie 
d'acces en lecture du groupe Gl et la regie de 
securite en interdiction d'ecriture du groupe Gl, et 
une conformite pour le sujet S3 entre la regie de 
droit d'acces en ecriture du groupe G2 et la regie de 
securite d 1 interdiction en lecture du groupe G2 . Par 
contre, 1 1 etape ET9 signale un defaut de conformite 
pour le sujet S2 qui appartient a la fois aux groupes 
Gl et G2 • Pour le sujet S2 la regie de droit d'acces 
en lecture relative au groupe Gl n'est pas conforme a 
la regie de security d 1 interdiction en lecture pour 
le groupe G2, et la regie de droit d'acces en 
ecriture pour le groupe G2 n'est pas conforme avec la 
regie de securite d 1 interdiction en ecriture du 
groupe Gl . L r etape ET11 procede alors a la 
suppression des droits d'acces en lecture et ecriture 
du sujet S2 qui ne conserve que le droit d'acces en 
execution en cornmun avec les autres sujets Si et S3. 

Bien que la figure 3 soit relative a la 
conformite d 1 operations sur un objet donne Ob, d ' une 
maniere plus generale, toute operation relative a 
1 1 un quelconque des objets 01 a OB de 1 1 ensemble EO 
peut provoquer une verification de conformite 
generale de toutes les listes de controle d'acces et 
capacites relatives a tous les objets Ol a OB par 
rapport a toutes les regies de securite de la 
politique de securite. Une telle verification de 
conformite generale est de preference realisee au 
moins lors de la mise en service et la 
personnalisation de la carte a puce CA. 
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REVEN DICTATIONS 

1 - Procede pour verifier la conf ormite de 
regies d'acces (Re) definissant respectivement des 

5 droits autorisant et/ou interdisant des premiers 
elements (Su) , tels que des utilisateurs, a accornplir 
des actions sur des deuxiemes elements (Ob) , tels que 
des applications implantees dans un objet 
electronique portable (CA) , avec des regies de 

10 securite (RS) limitant les regies d'acces des 
premiers elements aux deuxiemes elements, caracterise 
en ce qu'il comprend, pour chaque operation (ET3) 
relative a un deuxieme element donne (Ob) , telle que 
notamment un chargement du deuxieme element donne 

15 (Ob) ou une modification de regie d'acces relative au 
deuxieme objet donne dans 1" objet electronique 
portable (CA) , une comparaison (ET81, ET82, ET83, 
ET9) d'au moins une regie d'acces (Su/GpROb) au 
deuxieme element donne avec les regies de securite 

20 (RS) de maniere a accepter (ET10) 1' operation lorsque 
ladite regie d'acces (R) est conforme a toutes les 
regies de securite et a signaler la non conformite de 
1" operation lorsque ladite regie d'acces n'est pas 
conforme a 1 1 une des regies de securite. 

25 

2 - Procede conforme a la revendication 1, selon 
lequel ladite operation (ET3) est ou une suppression 
ou une adjonction d'une regie d'acces (R) relative au 
deuxieme element donne, ou une suppression ou une 

30 adjonction d'un premier element (Su) ou de plusieurs 
premiers elements (Gp) ayant acces a l f objet donne 
(Ob), ou une demande d'acces a I 1 objet donne (Ob) par 
un premier element (Su) ou par un groupe (Gp) de 
premier element. 
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3 - Procede conforme a la revendication 1, selon 
lequel, lorsque I 1 operation (ET5) est relative 
seulement a un premier element donne (Su) et au 
deuxieme element donne (Ob), la comparaison (ET82) 
5 consiste a comparer toutes les regies d'acces (SuROb, 
Gp(Su)ROb) relatives au premier element donne (Su) et 
au deuxieme element donne (Ob) avec toutes les regies 
de securite (RS) . 

10 4 - Procede conforme a la revendication 1, selon 

lequel certains des premiers elements appartiennent 
chacun a un ou plusieurs groupes de premier element 
(Gp) , un premier element dans un groupe ayant tous 
les droits d ! acces accordes au groupe, caracterise en 

15 ce que, lorsque 1' operation (ET6) est relative a un 
groupe donne de premier element (Gp) , la comparaison 
(ET83) consiste a comparer toutes les regies d'acces 
(GpROb) relatives au groupe donne et au deuxieme 
element donne (Ob) avec toutes les regies de securite 

20 (RS) . 

5 - Procede conforme a une quelconque des 
revendications 1 a 4, selon lequel la comparaison 
(ET81, ET82, ET83, ET9) est effectuee per iodiquement . 

25 

6 - Procede conforme a une quelconque des 
revendications 1 a 5, selon lequel les regies de 
securite (RS) sont implantees dans un moyen de 
securite (TE) qui est externe a l'objet electronique 

30 portable (CA) et qui effectue la comparaison (ET81, 
ET82, ET83, ET9) . 

7 - Procede conforme a une quelconque des 
revendications 1 a 5, selon lequel les regies de 

35 securite (RS) sont implantees dans l'objet 



2822256 



electronique portable (CA) qui effect 
comparaison (ET81, ET82, ET83, ET9) . 
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